gpt4 book ai didi

ssl - 如何使用 nginx 安装 letsencrypt 证书?

转载 作者:太空宇宙 更新时间:2023-11-03 12:50:49 26 4
gpt4 key购买 nike

我用过 letsencrypt在 ubuntu 上为最新的 nginx 安装 SSL 证书。设置很好,效果很好,但以下情况除外:

enter image description here

我对 SSL 了解不够,无法知道发生了什么,但我怀疑:不久前我为 Apache 安装了 SSL 证书,现在为了它的 http/2 支持而转移到 Nginx。由于 nginx 插件还不稳定,我不得不自己安装证书,这就是我所做的:

在我的 nginx 配置 (/etc/nginx/conf/default.conf) 中,我添加了:

server {
listen 80;
server_name [domain];
return 301 https://$host$request_uri;
}

server {
listen 443 http2;
listen [::]:443 http2;
server_name [domain];

ssl on;
ssl_certificate /etc/letsencrypt/live/[domain]/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/[domain]/privkey.pem;
}

这是否有可能以某种方式打破链条?这里的正确方法是什么?

谢谢大家

最佳答案

1) 对于强大的 Diffie-Hellman 和避免 Logjam 攻击,请参见 this great manual .

您需要使用这些指令扩展您的 nginx 配置(在您生成 dhparams.pem 文件之后):

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;

2) 对于正确的证书链,使用 fullchain.pem,而不是 cert.pem,参见 this great tutorial了解详情。

你会得到 A 级 :)

3) 作为奖励,试试这个很棒的服务:

"Generate Mozilla Security Recommended Web Server Configuration Files" .

关于ssl - 如何使用 nginx 安装 letsencrypt 证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36052119/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com